Sécurité - Que pensez-vous de Intel Management Engine ?

17 Antworten [Letzter Beitrag]
nmrk.n
Offline
Beigetreten: 11/01/2013

Bonjour,

Que pensez-vous de Intel Management Engine et autres (car on ne peut douter qu'il en existe) ?

https://forum.hardware.fr/hfr/Hardware/carte-mere/driver-management-engine-sujet_883255_1.htm

La sécurité peut-elle vraiment exister et si non à quoi bon s'en préoccuper puisque de toute façon celui qui doit "passer à la casserole" y passera quoi qu'il fasse ...

merci

Korax
Offline
Beigetreten: 02/24/2021

Dans le monde anglophone, on trouve de nombreux informaticiens qui ont étudié, par rétro-ingénierie à la fois l'I.M.E., ainsi que le P.S.P. (Plateform Security Processor) des processeurs AMD. On ne sait pas exactement ce que fait leur microcode, mais il est certain qu'il court-circuite toutes les permissions et peut possiblement contrôler tous les flux entrant et sortant.
Aussi longtemps que nos ordinateurs possèdent des portes dérobées, soit logicielles, soit matérielles, le concept de sécurité semble caduque.
Heureusement, il y a des moyens d'effacer le microcode inscrit dans l'IME. En fouillant sur internet, tu trouveras des tutos pour le faire, sans même avoir à extraire la puce du BIOS.
L'autre solution consiste à acquérir des cartes-mères sans l'IME, donc un peu anciennes. L'IME a été intégré à toutes les cartes-mères dès 2008 ; et le PSP dès 2013 chez AMD.

[https://www.youtube.com/watch?v=3CQUNd3oKBM] — Rétro-ingénierie sur l'IME
[https://www.youtube.com/watch?v=Lr-9aCMUXzI] — Vidéo vulgarisatrice
[https://www.youtube.com/watch?v=IW2YsxSj6zE] — Rétro-ingénierie sur le PSP d'AMD
[https://freundschafter.com/research/amd-processors-without-amd-psp-secure-technology/] — Liste des processeurs AMD munis du PSP

Magic Banana

I am a member!

Offline
Beigetreten: 07/24/2010

Ce n’est pas parce que le risque 0 n’existe pas qu’il est bon de ne rien faire : https://fr.wikipedia.org/wiki/Sophisme_de_la_solution_parfaite

nmrk.n
Offline
Beigetreten: 11/01/2013

Ce n’est pas parce que le risque 0 n’existe pas qu’il est bon de ne rien faire

Sans doute, c'est sûrement vrai, surtout en théorie.

Mais par exemple, ma femme utilise actuellement la version n-3 de son système d'exploitation et court certainement beaucoup de risques de sécurité.

Mais elle fait l'économie d'avoir à se confronter à de nombreuses évolution sans intérêt et fait tout ce qu'elle ferait avec la version n dernière sortie.

En plus. elle a évité plusieurs régressions qui avec la version n ne permettent plus de faire ce que l'on faisait avec la n-3 et même avant et encore avant.

Question :

Que faites vous de plus avec la version n de votre système d'exploitation que vous ne pouviez pas faire avec la version n-3 ?

Je lui avait installé à sa sortie la version n-2 par rapport à la dernière version sortie (c'est à dire la n+1 par rapport à sa version de l'époque) :

j'ai abandonné, je le fais toujours pour moi mais si je le fais pour ma femme, attention les galères ... ---> Rétropédalage salvateur.

Bilan à l'heure actuelle : 100% positif.

Car le vrai risque c'est surtout de se retrouver en milieu étranger (l'horrible design plat, par exemple; ou autre chose de pire), rencontrer une régression qui fait que l'on ne peut même plus faire ce que l'on faisait depuis des années à cause d'un bogue qui tarde à être résolu ou d'un nouveau venu plus ou moins jeune pressé de marquer son territoire.

Le risque pour le particulier n'est pas vraiment de voir sa machine piratée :

J'ai commencé à m'intéresser à la chose avec un processeur DX2 66Mhz et 4 Mo de RAM (oui vous avez bien lu, ça a existé) sous MS DOS puis sous Windows 3.1 .....

Ils sont où les problèmes de sécurité ? En revanche, les autres, je les ai vus plus d'une fois ...

merci.

Avron
Offline
Beigetreten: 08/18/2020

Je viens d'installer Parabola avec mon window manager préféré. Ca ressemble à
https://en.wikipedia.org/wiki/OpenBSD#/media/File:Openbsd61_desktop.png

Ca marche super bien depuis 1994 sur les dernières versions BSD et GNU/Linux. C'est peut-être plus facile de garder ses outils longtemps sur les derniers systèmes quand ce sont des logiciels libres.

Magic Banana

I am a member!

Offline
Beigetreten: 07/24/2010

Que faites vous de plus avec la version n de votre système d'exploitation que vous ne pouviez pas faire avec la version n-3 ?

Ce dont je me souviens : ma connexion Wi-Fi tombait fréquemment avec Trisquel 8, même son noyau HWE ne me supportait pas ma tablette graphique, il n'y avait pas Xournal++ dans son dépôt, GCompris (pour mon fils) était vraiment moins bien, Abrowser ne permettait pas de communiquer avec le Jitsi Meet actuel (mais ce doit être résolu, Abrowser étant constamment mis à jour et Trisquel 8 étant encore supporté, mais c'est bientôt fini), SoundConverter ne terminait jamais la conversion de certains fichiers. Trisquel 8 est la version n - 1.

grimlock
Offline
Beigetreten: 05/15/2015

Bonjour, s'il vous plaît de quoi s'agit-il le 'n-1', 'n-2', 'n-3' ?
J'ai beau chercher, en vain... Je vous remercie.

nmrk.n
Offline
Beigetreten: 11/01/2013

Bonjour, s'il vous plaît de quoi s'agit-il le 'n-1', 'n-2', 'n-3' ?

Nous en sommes actuellement à Trisquel 9.0 LTS Etiona

Donc, par rapport à la version en cours à ce jour (c'est à dire la 9.0) la précédente est la 8.0 c'est à dire la n-1 et la prochaine sera la 10.0 c'est à dire la n+1.

Et par exemple, par rapport à la version 6.0 la version actelle est la n+3 (c'est à dire la 9.0).

L'antépénultième* version par rapport à la version actuelle (9.0, la dernière) est la 7.0.

merci

* Avant avant-dernier, avant avant-dernière.

nmrk.n
Offline
Beigetreten: 11/01/2013

Le WiFi je ne sais pas car j'ai toujours préféré le câble Ethernet (sauf pour mon ordiphone bien sûr). Et à partir du moment ou j'ai eu un ordinateur portable pour aller à la campagne sans que ça fasse trop déménagement il est plus souvent arrivé que le WiFi pose problème après une nouvelle installation plutôt que sur une installation ayant préalablement donné satisfaction.

HWE je ne sais pas ce que c'est, peut être que je suis "comme Mr Jourdain" ?

Xournal, GCompris, Abrowser, Jitsi Meet, SoundConverter ... Là tu ne me parles pas du système d'exploitation, tu parles de logiciels divers et variés.

Que l'on améliore chaque logiciel au fil du temps ça ne me gène pas surtout si je peux continuer d'utiliser l'ancienne version en cas de difficulté.

Chaque logiciel progresse à son rythme, ils ne changent pas de version tous en même temps. Les mises à jour de mon navigateur internet ou de mon courrielleur ou de mon tableur ça ne me gène pas car tout ne vient pas en même temps.

Sur le système de ma femme en version n-3 j'ai désinstallé le Firefox des dépôts et lui ai installé Mozilla Firefox au format .tar.bz2 qui se met à jour régulièrement. C'était nécessaire pour je ne sais plus quoi qui ne fonctionnais plus avec la version de Firefox des dépôts. Mais ça, ça a répondu à la question sans bouleverser tout son quotidien pour passer à la n+1 puis à la n+2 puis à la n+3 c'est à dire presque tous les ans un changement qui lui demande deux ans d'adaptation ...

Quand c'est du système d'exploitation qu'il s'agit c'est une autre paire de manches car il y a le SE sous tous ses aspects et les répercutions sur tous les logiciels.

En bref, quand c'est chaotique c'est problématique. Donc je n'aime pas les régressions et les changements pour le changement qui font que l'on ne s'y retrouve pas ou que ce qui fonctionnait suffisamment depuis 10 ans se met à ne plus fonctionner.

De ce point de vue je donne d'ailleurs une assez bonne note à Trisquel Triskel que je trouve assez sage.

merci

https://www.mageialinux-online.org/forum/topic-28596+plasma-parametres-des-fenetres.php

Magic Banana

I am a member!

Offline
Beigetreten: 07/24/2010

Le WiFi je ne sais pas

Le problème était certainement spécifique à mon matériel.

HWE je ne sais pas ce que c'est

Hardware Enablement (HWE) : des versions plus récentes du noyau et du serveur X, disponible dans le dépôt logiciel.

Là tu ne me parles pas du système d'exploitation, tu parles de logiciels divers et variés.

Même si tu veux établir une limite entre logiciels système et applications (contrairement par exemple à l’utilisation du terme « système d’exploitation » sur https://www.gnu.org/software/ ), gérer des applications sans le gestionnaire de paquets (ou, dans une moindre mesure, en utilisant des PPAs, des Flatpaks, qui n’étaient d’ailleurs pas supportés par Trisquel 8, etc.) est une corvée dont je me passe volontiers. Je ne tiens pas en particulier à devoir moi-même vérifier si une nouvelle version corrigeant peut-être des vulnérabilités est disponible. Et puis les versions plus récentes de ces applications peuvent nécessiter de nouvelles versions de bibliothèque système (comme la bibliothèque C de GNU), non installable sur une ancienne version de Trisquel sans tout casser.

nmrk.n
Offline
Beigetreten: 11/01/2013

gérer des applications sans le gestionnaire de paquets ... est une corvée dont je me passe volontiers. Je ne tiens pas en particulier à devoir moi-même vérifier si une nouvelle version corrigeant peut-être des vulnérabilités est disponible. Et puis les versions plus récentes de ces applications peuvent nécessiter de nouvelles versions de bibliothèque système (comme la bibliothèque C de GNU), non installable sur une ancienne version .. sans tout casser.
C'est curieux parce que mon expérience personnelle ne me montre pas les choses tout à fait sous cet angle :

Sur la machine qui tourne en version n-3 du système d'exploitation par rapport à ce jour de mars 2021 (noyau 4.4.114) et sur laquelle j'ai installé Firefox à partir du tar.bz2,
Firefox se met à jour automatiquement en faisant "Aide" > "À propos de Firefox" et est actuellement en version 86.0 (à jour).

Sur la machine qui tourne en version n (à jour) du système d'exploitation par rapport à ce jour de mars 2021 (noyau 5.10.16) et sur laquelle j'ai installé Firefox à partir des dépôts,
Firefox ne se met pas à jour automatiquement en faisant "Aide" > "À propos de Firefox" (il faut attendre la mise à jour des dépôts) et est actuellement en version 78.8.0 esr.

https://support.mozilla.org/fr/kb/mettre-jour-firefox-derniere-version

merci

2021-03-11-A_propos_de_Firefox-Depots.jpg 2021-03-11-A_propos_de_Firefox-tar.bz2.jpeg
Magic Banana

I am a member!

Offline
Beigetreten: 07/24/2010

Ne fais-tu tourner que Firefox sur un ordinateur suffisamment ancien pour qu’un vieux noyau supporte parfaitement son matériel ? Ce n’est certainement pas vrai (tu utilises un gestionnaire de fenêtres, etc.). Même si ça l’était, ton cas n’est pas une généralité.

Mozilla a une infrastructure pour proposer des mises à jour de Firefox, oui. Seule une poignée de grands projets (comme aussi LibreOffice et VLC) mettent en place et administrent de telles infrastructures. Ces grands projets en ont les moyens humains et ils sont avant tout utilisés sur Windows, qui ne gère pas le maintien à jour des applications autres que celles de Microsoft (de ce que je sais : je n’utilise plus Windows depuis Windows XP).

Sur GNU/Linux, nous avons depuis longtemps des gestionnaires de paquets qui s’occupent du système entier, jusqu’aux plus petites applications. C’est nettement plus efficace : ton système ne perd pas son temps à vérifier sur chacun des sites des différents logiciels que tu utilises si des mises à jour sont disponibles, les petits projets n’ont pas à gérer d’infrastructures de mise à jour automatique, et comme en pratique ils ne le font pas, tu ne retrouves pas avec la plupart de tes applications qui ne sont pas à jour et potentiellement affectées par des vulnérabilités qui ont pourtant été corrigées. Ce n’est pas pour rien que les experts en sécurité passent leurs temps à répéter qu’il ne faut jamais utiliser de système non mis à jour. Au passage : la fin du support de Trisquel 8 (n-1, donc) est dans quelques semaines.

Et puis les distributions GNU/Linux fournissent aussi un système cohérent. Nous n’avons pas chaque application qui inclut statiquement une version différente d’une même bibliothèque (au hasard, la libssl). Là encore, la bibliothèque incluse dans une application non mise à jour peut être datée et souffrir de failles de sécurité. Sans compter que faire tourner en parallèle des applications qui incluent statiquement une même bibliothèque est un gâchis de mémoire vive.

Raistlin
Offline
Beigetreten: 04/06/2020

Au passage : la fin du support de Trisquel 8 (n-1, donc) est dans quelques semaines.

Est-ce normal que le passage à Trisquel 9 ne soit toujours pas proposé ?

Magic Banana

I am a member!

Offline
Beigetreten: 07/24/2010

Non. Cela fait cinq mois que le gestionnaire de mises à jour devrait proposer Trisquel 9. Et je crois qu’il ne l’a fait pour personne. Si tu es encore sur Trisquel 8, tu devrais en changer dans les quelques semaines à venir. Pour ce faire, exécute dans un terminal :
$ sudo do-release-upgrade
Si cela ne fonctionne pas, essaie :
$ sudo do-release-upgrade -d
Pour certains, cela ne fonctionnait pas non plus et ils et elles ont dû recourir à :
$ sudo sed -i 's/flidas/etiona/' /etc/apt/sources.list && sudo apt update && sudo apt full-upgrade
Si tu utilises des PPAs, mieux vaut les purger avant la mise à jour. ppa-purge, dans le dépôt Trisquel, le permet : https://www.tecmint.com/add-remove-purge-ppa-in-ubuntu/

nmrk.n
Offline
Beigetreten: 11/01/2013

Tu as certainement raison en théorie et je suis d'accord avec toi.

Mais côté pratique c'est autre chose.

...gâchis de mémoire vive. Sans doute.

Mais le gâchis de mémoire de masse ou de mémoire vive de nos jours, on peut se le permettre vu les capacités des disques durs et des barrettes mémoire sans pour autant tomber dans les excès :

j'ai commencé avec un DX2 66Mhz avec 4 Mo de RAM et un Disque dur de 210 Mo, aujourd'hui j'ai 32 Go de RAM et de multiples disques durs internes et externes dont un de 2 To et je suis loin des offres maximum du marché ...

... la bibliothèque incluse dans une application non mise à jour peut être datée et souffrir de failles de sécurité. ...

Sans doute mais depuis 1990, malgré mes négligences et en particulier l'utilisation de Windows 3.1, 95, 98, XP et 7, je n'ai jamais eu à pâtir de problèmes de sécurité.

Ce qui n'est pas le cas d'autres difficultés très handicapantes ...

Et en parlant de mises à jour, quel est la version actuelle du kernel de Trisquel ?

Sur une autre distribution j'ai actuellement un 5.10 ... Je regarderai la version du kernel de triskel 9.0 au prochain démarrage, je crois me rappeler que c'est un 4.15*.

merci

* Edit : c'est bien un 4.15.

Et qu'est-ce que ça veut dire ?

2021-03-12_05:10:14-01-Cptr-Trisquel 9.0.jpg
Magic Banana

I am a member!

Offline
Beigetreten: 07/24/2010

Sans doute mais depuis 1990, malgré mes négligences et en particulier l'utilisation de Windows 3.1, 95, 98, XP et 7, je n'ai jamais eu à pâtir de problèmes de sécurité.

De ce que tu sais. Les administrateurs de botnets font tout ce qu’ils peuvent pour que tu ne te rendes pas compte que ta machine en fait partie et que tu réinstalles ton système.

Et en parlant de mises à jour, quel est la version actuelle du kernel de Trisquel ?

Par défaut, 4.15.0-136 à ce jour. Le 136 c’est parce qu’il y a eu, depuis la sortie d’Ubuntu 18.04 (sur laquelle Trisquel 9 est basée) 136 mises à jour backportées des versions suivantes du noyau. Des mises à jours de sécurité ou des corrections de bogues majeurs.

Trisquel est une distribution stable : les versions majeures de tous les paquets (sauf Abrowser, la seule exception, parce que le Web évolue vite) sont fixes sur une version donnée de Trisquel. Ainsi, sauf mise à jour de la distribution (passage de Trisquel 8 à Trisquel 9 par exemple, que l’on peut programmer des mois à l’avance), le système ne bouge pas. Seules des mises à jour de sécurité et des corrections de bogues majeurs, backportées des versions suivantes, sont proposées. Cela arrive très régulièrement. Une fois par semaine en moyenne pour le noyau, vu ses 136 mises à jour.

nmrk.n
Offline
Beigetreten: 11/01/2013

Merci pour ces précisions.

Qu'est-ce que ça veut dire au juste ? Extrait de la capture d'écran placée dans mon précédent message :

Kernel Is Not Being Appropriately Deblobbed active critical rapports de bugs 9.0 Kernel/drivers 4 semaines 3 jours 4 semaines 3 jours 0.000
Desktop+Etonia 9 Hanging, sleeping and crashing all the time active normal rapports de bugs 9.0 Kernel/drivers 6 20 semaines 1 jour 24 semaines 3 jours 0.000
Icedove Segfaults in Trisquel 9 Etiona active normal rapports de bugs 9.0 Programs 3 25 semaines 16 heures comptabilisés 1 année 10 semaines 0.000

merci

Source : https://trisquel.info/fr/project/issues/trisquel?text=kernel&status=Open&priorities=All&categories=All&version=26433&component=All

Magic Banana

I am a member!

Offline
Beigetreten: 07/24/2010

Tu n’as qu’à lire les textes derrière les liens. Seul le premier problème est vraiment intéressant. Les deux autres viennent d’utilisateurs qui confondent le système de rapport de bogues avec un forum.